﻿ Lucrarea 6 Capturarea şi analizarea traficului de reţea 1 Obiective • Deprinderea unor cunoştinţe generale despre instrumentele de captură şi analiză a traficului şi înţelegerea utilităţii acestora • Familiarizarea cu unul dintre aceste instrumente, un software denumit Wireshark • Înţelegerea cu ajutorul acestui instrument software a structurii ierarhizate a arhitecturii Internet • Analizarea, pe scurt, a câtorva protocoale din stiva TCP/IP: UDP, TCP, IP, Ethernet etc 2 Analizoarele de trafic de reţea 2 1 Prezentare generală Analizoarele de trafic de reţea sunt în general instrumente software care sunt capabile să capteze şi să analizeze traficul transmis sau recepţionat de către un calculator care este conectat într-o reţea Aceste instrumente pot fi utilizate atât în scop de studiu al funcţionării protocoalelor de reţea (mecanisme, structura cadrelor etc), cât şi pentru îmbunătăţirea funcţionalităţii şi a securităţii reţelei Cele mai multe dintre aceste instrumente se descarcă gratuit de pe Internet, unele dintre ele fiind rţi integrante ale unor sisteme de operare Câteva analizoare de reţea (uneori denumite în chiar pă limba engleză "packet sniffer") des folosite sunt: Ethereal, Wireshark (versiunea nouă a lui Ethereal), tcpdump (asemănător cu cele două programe anterioare, dar apelabil doar în linia de comandă), Microsoft Network Monitor (pachet suplimentar al sistemelor de operare Windows), ettercap (program ce poate fi folosit pentru capturarea parolelor transmise într-o reţea de către unele protocoale de nivel aplicaţie) etc Într-o reţea locală, în funcţie de structura acesteia, se poate captura traficul din întreaga reţea, sau doar traficul destinat calculatorului pe care s-a instalat software-ul de analiză Spre exemplu, într-o reţea Ethernet care foloseşte comutatoare (switchuri), este posibilă "ocolirea" în scopuri rău intenţionate a filtrării de pachete pe care switchurile o pun în practică şi accesarea traficului destinat altor staţii de reţea (o metodă cunoscută este denumită ARP spoofing) Capturarea traficului întregii reţele poate servi însă şi unor scopuri de administrare, deoarece ea furnizează o imagine globală asupra reţelei în cauză De exemplu, o tehnică folosită este configurarea pe un switch a unui port special denumit port de "mirroring", care va "oglindi" toate pachetele ce trec prin toate porturile switchului Aşadar, în reţelele care folosesc switchuri mai degrabă decât huburi, analizorul de reţea va fi incapabil să capteze datele de reţea, datorită naturii intrinsece a switchurilor (a "izolării" pe care ele o introduc) Atât în reţelele cu fir cât şi în acelea fără fir, pentru ca analizorul de reţea să fie capabil să captureze şi pachete de date care nu îi sunt explicit dedicate (în această categorie intrând pachete unicast sau de difuzare în LANul din care respectiva staţie face parte), adaptorul de reţea trebuie setat într-un mod de operare special, care de obicei se numeşte "promiscous mode" Este de notat că nu orice analizor de reţea suportă acest mod de operare În reţelele fără fir, chiar dacă este posibilă setarea plăcii de reţea wireless în "promiscous mode", pachetele care nu corespund setului de i servicii pentru care adaptorul este configurat vor fi de obicei ignorate Pentru a putea vizualiza ş aceste pachete este nevoie de setarea unui alt mod de operare, şi anume acela de monitorizare a reţelei 2 2 Funcţionalităţi ale softurilor de analiză de reţea Printre funcţionalităţile analizoarelor de reţea, putem menţiona: • Analiza problemelor de reţea • Detectarea încercărilor de intruziune • Monitorizarea utilizării reţelei • Colectarea şi raportarea unor statistici de reţea • Filtrarea pachetelor suspecte din traficul de reţea • Spionarea altor utilizatori de reţea şi capturarea parolelor acestora • Depanarea problemelor protocoalelor de reţea Câteva exemple practice de folosire a analizoarelor de reţea, legate de aspectele menţionate mai sus ar putea fi: • Un analizor de pachete pentru o reţea token ring ar putea detecta pierderea tokenului sau prezenţa prea multor tokenuri pe inel • Un analizor de pachete ar putea detecta că mesajele primite de către placa de reţea nu sunt sesizate (procesate) de către aceasta, ceea ce este un indiciu al funcţionării necorespunzătoare a adaptoarelor de reţea • Un analizor de pachete ar putea colecta statistici referitoare la volumul de trafic (numărul de mesaje) legate de un anumit proces, detectând astfel necesitatea unei nevoi de bandă sporite a acestui proces • Un analizor poate fi folosit pentru diagnosticarea problemelor de conectivitate ale sistemului de operare, legate de web, ftp, active directory ş a m d • Un analizor de pachete poate fi utilizat pentru a analiza datele trimise către/recepţionate dinspre un sistem securizat, pentru înţelegerea măsurilor de securitate în scopul testării penetrabilităţii sistemului în vederea prevenirii efectuării unor acţiuni ilegale pe acesta 3 Prezentarea programului Wireshark Wireshark (al cărui versiune mai veche se numeşte Ethereal) este un pachet software gratuit care poate fi utilizat în mod interactiv pentru capturarea şi analiza traficului de reţea Acest instrument sofware beneficiază de o interfaţă grafică utilizator, care îl face simplu de utilizat La fel ca şi alte analizoare de pachete, fereastra principală din Wireshark prezintă trei imagini graduale asupra unui pachet În primul rând, o descriere sumară a pachetului, în care se dau informaţii de bază despre pachetul respectiv Aceasta este completată de o fereastră de detaliu în care se dau detalii asupra protocoalelor care compun pachetul (tipul protocolului, dimensiunea headerului etc) În cele din urmă, avem imaginea exactă a şirului de octeţi (codaţi în hexadecimal) care compun pachetul În figura 1 se poate vedea o imagine a interfeţei grafice utilizator a programului Wireshark Fig 1: Interfaţa grafică a utilitarului Wireshark Fig 1: Interfaţa grafică utilizator a programului Wireshark Cadrele de informaţie sunt capturate cu ajutorul unei colecţii cuprinzătoare de filtre Aceste filtre pot fi preinstalate sau definite de către utilizator, care poate preciza ce fel de pachete să fie capturate, cât să dureze captura, dimensiunea maximă a pachetelor şi alte detalii Mai mult decât atât, pachetele capturate pe durata unei conversaţii "TCP/IP" pot fi afişate într-un format ASCII uşor de utilizat 4 Parte practică Studenţii vor trebui să urmeze paşii descrişi în cele ce urmează: 1 Alegerea plăcii de reţea folosite pentru capturarea traficului În acest scop se va utilizea meniul Capture-Interface-Details Studenţii vor verifica tipul plăcii de reţea folosite la capturarea traficului La sfârşitul acestei etape, studenţii vor răspunde în scris la următoarele întrebări: a Cărui tip de protocol îi corespunde placa de reţea (Ethernet, Fast Ethernet, Gigabit Ethernet, Wireless etc)? b Cine este producătorul plăcii de reţea? c Care este adresa MAC a plăcii? interfaţă? d Care este dimensiunea pachetelor suportată de către această e Care este viteza legăturii? 2 Definirea opţiunilor de capturare şi pornirea capturării Meniul uilizat în acest scop este Capture-Options Ca şi interfaţă de captură trebuie aleasă placa de reţea din familia Ethernet (în caz că există mai multe plăci de reţea instalate) Se face o trecere în revistă a filtrelor pre-definite care pot fi utilizate Înainte de pornirea capturii (folosind butonul Start plasat în colţul din stânga-jos al ferestrei), studenţii vor trebui să identifice şi să noteze următoarele informaţii: a Care este numărul total de interfeţe de reţea din care se poate alege şi care sunt proprietăţile şi semnificaţia fiecăreia dintre aceste interfeţe? b Enumeraţi 5 filtre predefinite care pot fi utilizate pentru capturarea traficului şi încercaţi să le explicaţi înţelesul Aceste filtre pot fi identificate cu ajutorul meniului Capture-Filter care să se oprească automat după 20 de secunde Durata capturii poate fi 3 Porniţi o captură stabilită din meniul Capture-Options Pentru această captură, nu se va utiliza nici un fel de filtrare după tipul de pachete Încercaţi să identificaţi pachetele care folosesc la nivelul transport TCP, respectiv UDP şi să răspundeţi la următoarele întrebări: a Carele sunt protocoalele utilizate (ce apar în partea de jos a ferestrei), atunci când selectaţi un pachet în partea de sus a interfeţei grafice, folosind tastatura sau mouse-ul? b Care este lungimea pachetelor? Este identică această lungime pentru toate protocoalele de nivel superior (TCP, UDP etc)? c Treceţi în revistă protocoalele afişate, de sus în jos Încercaţi să identificaţi şi să notaţi lungimea headerelor pentru fiecare protocol listat şi să stabiliţi poziţia în cadrul pachetului capturat a antetului fiecărui tip de protocol Mai jos aveţi une exemplu de stabilire a poziţiei antetului pachetelor IP Fig 2: Identificarea poziţiei antetelor diverselor protocoale d Care este lungimea datelor utile? Comparaţi această lungime cu lungimea totală a pachetului transmis prin cablu 4 Identificaţi informaţii statistice referitoare la pachetele transmise pe durata capturii Astfel, căutând în submeniurile ce se deschid accesând opţiunea Statistics (Summary, Convesation List), încercaţi să extrageţi şi să notaţi următoarele informaţii: numărul total al pachetelor capturate, debitul mediu, dimensiunea medie a pachetelor Care dintre protocoalele de pe lista de conversaţie nu au fost folosite pe durata capturii? 5 Construiţi un filtru care este capabil să capteze doar pachetele HTTP/IP, atât pentru protocolul TCP cât şi pentru UDP Captura trebuie să se oprească automat după 30 de secunde Porniţi captura, şi apoi încercaţi să accesaţi o pagină web Când captura se opreşte, încercaţi să identificaţi şi să notaţi următoarele informaţii: ierarhia protocoalelor, conversaţiile desfăşurate şi destinaţie marcate în (adresele IP implicate în transmisia pachetelor), numerele de port sursă antetul protocoalelor de nivel transport TCP şi UDP Care dintre aceste două protcoale este cel mai utilizat? 